Rekt Test: что это такое и как его пройти
Rekt Test — это анкета, разработанная группой экспертов по web3-безопасности. Команду возглавил Дэн Гвидо, СЕО Trail of Bits. Это компания по компьютерной и сетевой безопасности, обслуживающая таких клиентов, как Facebook и Управление перспективных исследовательских проектов Пентагона.
Rekt Test: идеология проекта
Среди разработчиков нового стандарта безопасности — Митчелл Амадор из платформы баг-баунти Immunefi, Ник Шалек (инвесткомпания Ribbit Capital), Натан Макколи (криптоплатформа Anchorage Digital), Ли Маунт из Euler Labs (занимается созданием финансовых приложений), Шахар Мадар из институционального хранилища цифровых активов Fireblocks и другие специалисты. Проект Rekt Test был представлен web3-комьюнити в середине августа 2023 года.
Идеологически Rekt Test опирается на знаменитый тест Джоэла. Этот опросник придумал программист Джоэл Спольски четверть века назад. Он состоит из 12 простых вопросов, которые предполагают однозначные ответы «да» или «нет». Сумма баллов позволяет оценить зрелость и квалификацию команды разработчиков программного обеспечения. Блокчейн-бизнес требовал аналогичного инструмента, оценивающего безопасность того или иного проекта. Участники рынка пришли к общему мнению: существующие гайды слишком запутаны и, скорее, разочаровывают, чем помогают и информируют.
«В 2022 году глобальное пространство web3 оценивалось более чем в $934 млрд. Этот капитал представляет собой беспрецедентную и привлекательную возможность для черных хакеров. Мы рассмотрели все случаи, когда хакеры — черные шляпы — использовали различные криптопротоколы, а также случаи, когда протоколы якобы выполняли махинации в 2022 году... В общей сложности в 2022 году в экосистеме web3 мы наблюдали убытки в размере $3,948 млрд», — обозначили масштаб проблемы в Immunefi.
Rekt Test предлагает блокчейн-командам упрощенный способ оценить состояние безопасности проекта и степень его развития. Вопросы Rekt Test, подобно опроснику Джоэла, предполагают однозначные отрицательные или положительные ответы. Утвердительные ответы web3-разработчиков являются подтверждением надежности системы управления безопасностью проекта. Также полученный результат может быть стартом для предметных дискуссий о безопасности внутри команды.
Rekt Test: вопросы
- Задокументированы ли все участники, их роли и привилегии?
- Ведете ли вы документацию обо всех внешних службах, контрактах и оракулах, на которых полагаетесь?
- Есть ли у вас письменный и проверенный план реагирования на инциденты?
- Документируете ли вы лучшие возможности для атаки на вашу систему?
- Выполняете ли вы проверку личности и проверку биографических данных всех сотрудников?
- У вас есть член команды, который занимается исключительно вопросами безопасности?
- Требуются ли вам аппаратные ключи безопасности для производственных систем?
- Требует ли ваша система управления ключами нескольких человек и физических шагов?
- Определяете ли вы ключевые инварианты (показатели, которые всегда должны сохранять свое значение — ред.) для своей системы и тестируете их при каждом коммите (фиксация изменений в проекте — ред.)?
- Используете ли вы лучшие автоматизированные инструменты для обнаружения проблем безопасности в вашем коде?
- Проходите ли вы внешние аудиты и поддерживаете ли вы раскрытие уязвимостей или программу баг-баунти?
- Рассматривали ли вы возможности злоупотребления пользователями вашей системы и предусмотрели ли меры по их предотвращению?
Конечно, мониторинг этих контрольных точек не является панацеей от всех бед. Но, по мнению команды создателей, постоянный мониторинг ситуации с помощью Rekt Test способен значительно повысить уровень безопасности как ПО блокчейн-проекта, так и операционной безопасности его разработчиков.
«Ответ “да” на эти вопросы не означает, что вы полностью избежите инцидента безопасности, но это может дать вам и вашей команде возможность избежать наихудшего ярлыка в отрасли: стать rekt», — отмечают в Trail of Bits (речь о сокращении от английского wrecked: сленговым словом rekt называли геймера, который растерялся и проиграл. Теперь этот термин используют также на крипторынке для инвесторов и проектов, которые «падают в ноль»).
Систематизированный опросник не потеряет свою актуальность еще долгое время, несмотря на бурное развитие технологии блокчейн. Он представляет собой своего рода дорожную карту, на которую могут опереться как новички, так и старожилы отрасли.